Durante la procedura di deployment, un account di servizio creato per tuo conto utilizza queste autorizzazioni per tutta la durata del deployment.
L'account di servizio utilizza queste autorizzazioni per installare l'appliance di backup/recupero
L'account di servizio è ad accesso elevato nel progetto di destinazione, nel progetto VPC e nei progetti consumer durante l'installazione. La maggior parte di queste autorizzazioni viene rimossa man mano che l'installazione procede. La tabella seguente contiene i ruoli assegnati all'account di servizio e le autorizzazioni necessarie in ciascun ruolo.
| Ruolo | Autorizzazioni richieste | Se è un VPC condiviso, assegnalo a: |
|---|---|---|
| resourcemanager.projectIamAdmin | resourcemanager.projects.getIamPolicy | Proprietario VPC, amministratore di backup e progetti di workload |
| resourcemanager.projects.setIamPolicy | Proprietario VPC, amministratore di backup e progetti di workload | |
| iam.serviceAccountUser | iam.serviceAccounts.actAs | Progetto di workload |
| iam.serviceAccountTokenCreator | iam.serviceAccounts.getOpenIdToken | Progetto di workload |
| cloudkms.admin | cloudkms.keyRings.create | Proprietario VPC, amministratore di backup e progetti di workload |
| cloudkms.keyRings.getIamPolicy | Proprietario VPC, amministratore di backup e progetti di workload | |
| cloudkms.keyRings.setIamPolicy | Proprietario VPC, amministratore di backup e progetti di workload | |
| logging.logWriter | logging.logs.write | Progetto di workload |
| compute.admin | compute.instances.create | Progetto di workload |
| compute.instances.delete | Progetto di workload | |
| compute.disks.create | Progetto di workload | |
| compute.disks.delete | Progetto di workload | |
| compute.instances.setMetadata | Progetto di workload | |
| compute.subnetworks.get | Progetto VPC | |
| compute.subnetworks.use | Progetto VPC | |
| compute.subnetworks.setPrivateIpGoogleAccess | Progetto VPC | |
| compute.firewalls.create | Progetto VPC | |
| compute.firewalls.delete | Progetto VPC | |
| backupdr.admin | backupdr.managementservers.manageInternalACL | Progetto Backup Admin |
Al termine dell'installazione, per il funzionamento quotidiano del progetto del carico di lavoro
Tutte le autorizzazioni richieste per il deployment e l'installazione vengono rimosse
tranne iam.serviceAccountUser e iam.serviceAccounts.actAs. Vengono aggiunti due ruoli cloudkms necessari per il funzionamento quotidiano, limitati a un unico mazzo di chiavi.
| Ruolo | Autorizzazioni richieste |
|---|---|
| iam.serviceAccountUser | iam.serviceAccounts.actAs |
| cloudkms.cryptoKeyEncrypterDecrypter* | cloudkms.cryptoKeyVersions.useToDecrypt |
| cloudkms.cryptoKeyVersions.useToEncrypt | |
| cloudkms.admin* | cloudkms.keyRings.get |
| backupdr.computeEngineOperator* | Tutte le autorizzazioni elencate nel ruolo. |
| backupdr.cloudStorageOperator** | Tutte le autorizzazioni elencate nel ruolo. |
* I ruoli cloudkms si trovano in un'unica chiave automatizzata.
** Il ruolo cloudStorageOperator è presente nei bucket con nomi che iniziano con il nome dell'appliance di backup/ripristino.
Autorizzazioni utilizzate per creare un firewall nel progetto
Queste autorizzazioni IAM vengono utilizzate per creare un firewall nel progetto proprietario del VPC solo durante la creazione del firewall.
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.get
compute.firewalls.list
compute.firewalls.update
compute.networks.list
compute.networks.get
compute.networks.updatePolicy
Tutte le altre autorizzazioni non sono più necessarie dopo l'installazione.